Se una volta la comunita’ degli hacker era ‘sotterranea’ e molto difficile da raggiungere, oggi per imparare a violare un sito basta una “ricerchina” su Google, e per chi non ha voglia di leggere ci sono video tutorial caricati su YouTube. Sarebbe questa la strategia degli ‘hacker della domenica’, quelli che – secondo il rapporto State of Software Security Report dell’azienda di sicurezza Veracode – riescono a violare sette software su dieci in circolazione che hanno – a detta della societa’ – delle falle nella sicurezza. Il rapporto si basa su piu’ di 22mila applicazioni analizzate da Veracode fino a giugno 2012, di cui solo il 31% ha passato il test Cwe (Common Weakness Enumeration, ‘elenco delle debolezze piu’ comuni’) che prevede la verifica dei 25 errori del software ritenuti piu’ pericolosi. Una delle ‘falle’ piu’ sfruttate risiede nel linguaggio ‘Sql’, che viene usato per maneggiare i database e puo’ essere attaccato con una cosiddetta ‘Sql injection’. ”Una semplice ricerca con Google di ‘Sql injection hack’ fornisce 1,74 milioni di risultati – scrivono gli autori – compresi video caricati su YouTube che spiegano, come un tutorial, passo per passo come fare l’attacco. Questo ci fa prevedere che un terzo delle violazioni dei database del 2013 sara’ fatto con questo metodo, ed e’ una cosa che dovrebbe preoccupare, perche’ nel 2012 i tre attacchi di questo tipo piu’ grandi portati a termine hanno causato il furto di milioni di indirizzi, username e password”. Il riferimento e’ a tre violazioni messe a segno l’anno scorso ai danni di siti molto famosi. Sul gradino piu’ basso del podio c’e’ l’attacco congiunto della comunita’ internazionale degli hacker che ha preso il nome di ‘#projectwhitefox’, in cui sono stati carpiti e messi in rete i segreti di 31 siti mondiali, dallaNasa all’Fbi all’Interpol. Al secondo posto c’e’ la breccia fatta nel social network LinkedIn dall’hacker russo che si fa chiamare ‘dwdm’, che ha carpito oltre 6,5 milioni di password. La palma di ‘attacco dell’anno’ va invece a quello messo a segno sul sito di giochi online Gamigo, dal quale sono state sottratte ben undici milioni di password oltre a 8,5 milioni di username. Il documento mette sotto accusa le aziende produttrici di software, che ancora oggi non controllano a dovere i propri codici prima di mettere le applicazioni sul mercato. ”Siamo pessimisti – scrive nella previsione Chris Wysopal, cofondatore di Vericode – perche’ non vediamo la drammatica diminuzione nelle falle dei programmi che ci aspetteremmo. Per ogni societa’ o team di sviluppatori che diventano piu’ sicuri sembra ce ne sia una che peggiora”.
Internet: tanti software sono poco sicuri, crescono gli “hacker della domenica”
